（计算机系统结构专业论文）无线网络中密钥管理与认证方法及技术研究.pdf

摘要 随着无线通信及其相关技术的飞速发展，无线网络正在成为人们长期追求的 能够随时随地获取信息和享受方便网络服务的基础。但是，由于传输介质的开放 性与无线设备资源的受限性，给无线网络带来了比传统有线网络更加严重的安全 问题，无线网络的安全性成为人们关注的焦点。密钥管理和认证技术是保证无线 网络安全的重要基础和关键技术。因此，研究无线网络密钥管理与认证方法和技 术具有重要意义。 本文主要对无线网络安全中密钥协商、切换认证以及群组密钥管理等问题进 行了比较深入的研究，研究内容主要包括：可证安全的i n t e r n e t 认证及密钥协商方 法、无线m e s h 网络快速切换认证技术、无线网络中的自治愈群组密钥分发方法、 无线传感器网络密钥管理与广播认证技术。在进行深入分析研究的基础行，取得 了如下研究成果： 1 针对无线接入网络环境下，必须对发起者身份和位置敏感信息进行主动保 护的问题，提出了一种适用于无线网络环境下的i k e v 2 初始交换过程改进协议。 在通用可组合安全模型下对改进的协议进行了安全性证明，并对协议性能进行了 分析和仿真。 2 分析了无线m e s h 网络中m e s h 接入点移动时，快速切换认证过程中存在的问 题。采用邻居图的快速切换认证方法和基于矩阵密钥预分配方法，提出了一个无 线m e s h 网络快速切换认证方案，该方案能够解决m e s h 接入点移动性带来的快速切 换认证失败问题。 3 研究了自治愈的群组密钥分发技术与方法，基于参与方可自行选取秘密份 额的秘密共享方法，提出了一种自治愈群组密钥分发方案，方案的优点在于不需 要在群组管理员和每个群组成员之间建立一条安全信道来分发群组成员的个人秘 密信息。通过与相关方案进行性能对比分析，这种方案在存储开销和通信开销等 性能上都是较优的。 4 研究了无线传感器网络群组密钥管理和广播认证技术，提出了一个无线传 感器网络中具有撤销能力的自治愈群组密钥管理方案，该方案能够满足无线传感 器网络中在具有较高丢包率的无线通信环境下的群组密钥管理的安全需求，并能 确保群组密钥保密性、前向保密性和后向保密性等安全属性。 关键词：无线网络密钥管理认证安全协议群组通信 a bs t r a c t w i 廿lt h er a p i dd e v e l o p m e n to fw i r e l e s sc o m m u n i c a t i o na n dr e l a t e dt e c h n o l o g i e s ， w i r e l e s sn e t w o r k sa r eb e c o m i n gt h eb a s i so ft h ep e o p l el o n g t e r mp u r s u i tt h a te n j o y a n y t i m e ，a n y w h e r ea c c e s st oi n f o r m a t i o na n df a c i l i t a t en e t w o r ks e r v i c e h o w e v e r , c o m p a r e d 埘lt h ew i r e dn e t w o r k s ，w i r e l e s sn e t w o r k sf a c i n gm o r er i s kd u et ow i r e l e s s c h a n n e lo p e na n dc o n s t r a i n e dr e s o u r c eo fw i r e l e s sd e v i c e s ，t h es e c u r i t yo fw i r e l e s s n e t w o r k sb e c o m e st h ef o c u s 1 1 1 ek e ym a n a g e m e n ta n da u t h e n t i c a t i o na r et h eb a s ea n d c r i t i c a lt e c h n o l o g yo ft h ew i r e l e s sn e t w o r ks e c u r i t y t h e r e f o r e ，i ti ss i g n i f i c a n tt os t u d y t h em e t h o da n d t e c h n i q u e so fk e ym a n a g e m e n ta n da u t h e n t i c a t i o ni nw i r e l e s sn e t w o r k s t m sd i s s e r t a t i o nm a k e sac o m p a r a t i v e d e e p r e s e a r c ho n k e ya g r e e m e n t , a u t h e n t i c a t i o na n dg r o u pk e ym a n a g e m e n ti nw i r e l e s sn e t w o r k s ，w h i c hi n c l u d e s ： p r o v a b l es e c u r ew i r e l e s si n t e m e tk e ya g r e e m e n tm e t h o d , a u t h e n t i c a t i o nm e t h o df o rf a s t h a n d o f fi nw i r e l e s sm e s hn e t w o r k s ，s e l f - h e a l i n gg r o u pk e yd i s t r i b u t i o nm e t h o di n w i r e l e s sn e t w o r k s ，a n dg r o u pk e ym a n a g e m e n ti nw i r e l e s ss e n s o rn e t w o r k s t h em a i n r e s u l t sa r ea sf o l l o w i n g ： 1 i ti sn e c e s s a r yt o p r o t e c tt h ei d e n t i t y i n f o r m a t i o nt oi n i t i a t o ru n d e rt h e e n v i r o n m e n to fw i r e l e s sa c c e s sn e t w o r k an o v e lk e ye x c h a n g ep r o t o c o lf o rw i r e l e s s n e t w o r kb a s e do ni k e v 2i n i t i a l e x c h a n g ei sp r o p o s e d w i t ht h eu n i v e r s a l l y c o m p o s a b l es e c u r i t ym o d e l ，t h i sn e wp r o t o c o li sa n a l y z e di nd e t a i l s ，a n dp e r f o r m a n c e a n a l y s i sa n ds i m u l a t i o nr e s u l t ss h o wt h a tt h ep r o p o s e dp r o t o c o lh a sl e s sc o m p u t a t i o n a n dc o m m u n i c a t i o no v e r h e a d 2 t h es e c u r i t yp r o b l e mo ff a s th a n d o f f si n 亿a nm e s hn e t w o r k sw i mm o b i l e m e s ha c c e s sp o i n ti sa n a l y z e d b a s e do nt h en e i g h b o rg r a p hf a s th a n d o v e rm e t h o da n d m a t r i x b a s e dk e yp r e - d i s t r i b u t i o ns c h e m e ，a na u t h e n t i c a t i o ns c h e m ef o rf a s th a n d o f fi s p r o p o s e d t h es c h e m e i ss u i t a b l et ot h ew l a nm e s hn e t w o r k s 、杭t l lm o b i l em a p 3 n l es e l f - h e a l i n gg r o u pk e ym a n a g e m e n tm e t h o di ss t u d i e d b a s e do nas e c r e t s h a r i n gm e t h o di nw h i c he a c hu s e r ss e c r e ts h a d o wi ss e l e c t e db yt h eu s e rh i m s e l f , a s e l f - h e a l i n gg r o u pk e y d i s t r i b u t i o ns c h e m ei sp r o p o s e d n l es c h e m ee n a b l e se a c hg r o u p m e m b e r sp e r s o n a ls e c r e tk e yi ss e l e c t e db yt h em e m b e rh i m s e l f , t h eg r o u pm a n a g e r d o s en o th a v et od i s t r i b u t ee a c hm e m b e r sp e r s o n a ls e c r e tk e y , n os e c u r ec h a n n e li s r e q u i r e dt o b ee s t a b l i s h e db e t w e e nt h e g r o u pm a n a g e ra n de a c hm e m b e r 1 1 1 e p e r f o r m a n c ea n a l y s i sr e s u l t ss h o wt h a tt h ep r o p o s e ds c h e m eh a sl e s ss t o r a g ec o s ta n d c o m m u n i c a t i o nc o s t 4 t h ek e ym a n a g e m e n ta n db r o a d c a s ta u t h e n t i c a t i o ni nw i r e l e s ss e n s o rn e t w o r k s i ss t u d i e d b a s e do ng r o u pk e yd i s t r i b u t i o na n dr e v o c a t i o nm e t h o du s m gd u a ld i r e c t i o n k e yc h a i n s ，as e l f - h e a l i n gg r o u pk e ym a n a g e m e n ts c h e m ew i t hr e v o c a t i o nc a p a b i l i t yf o r w i r e l e s ss e n s o rn e t w o r k si sp r e s e n t e d t h ep r o p o s e ds c h e m ei m p l e m e n t st h es e l f - h e a l i n g f u n c t i o no fg r o u pk e ya n dn o d er e v o c a t i o nc a p a b i l i t y , a n ds a t i s f i e st h ed e s i r e ds e c u r i t yr e q u i r e m e n t s o fs e n s o rn e t w o r k sg r o u pk e ym a n a g e m e n ti np r e s e n c eo fah i g hl o s i n gp a c k e tr a t eo fw i r e l e s s c o m m u n i c a t i o ne n v i r o n m e n t s ，s u c ha st h eg r o u pk e yc o n f i d e n t i a l i t y , f o r w a r ds e c r e c ya n db a c k w a r d s e c r e c y k e yw o r d s ：w i r e l e s sn e t w o r k s ，k e ym a n a g e m e n t , a u t h e n t i c a t i o n , s e c u r i t yp r o t o c o l ，g r o u p c o m m u n i c a l i o n 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了本文中特别加以标注和致谢中所罗列的内容外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：学校 有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或 部分内容；可以允许采用影印、缩印或其它复制手段保存论文( 保密的论文在解 密后遵守此规定) 日期刎o 、6q 一、蚤吟址、鸯 盘霈一 蛆避 第一章绪论 随着信息与网络技术的迅猛发展，人们对信息的需求在内容和获取方式上的 要求越来越高，不再满足于使用固定终端连接到互联网上，而且希望从互联网上 运动的获取信息计算技术与移动通信的结合，使得沟通无处不在，任何人 ( w h o e v e r ) 在任何时候( w l e i l e v e r ) 和任何地方( w h e r e v e r ) 与任何人( w h o m e v e r ) 都能够以任何形式( w h a t e v e r ) 进行通信成为可能。随着无线通信及其相关技术的 不断发展，无线网络正在成为实现人们长期追求的随时随地获取信息和享受方便 廉价网络服务目标的基础但另一方面，由于无线网络采用的是无线通信信道， 这就给无线网络带来了比传统有线网络更加严重的安全问题，网络安全问题成为 制约无线网络发展的一个重要因素 为了获得安全可靠的无线网络服务，无线网络必须提供保密性、身份认证性、 数据完整性以及服务不可否认性等安全服务这些安全服务的一个重要方面是在 接入点和无线用户之间进行相互认证，认证机制在无线网络安全中发挥着重要作 用而保证安全认证服务有效实施的一个重要基础是密钥管理问题，构建强健的 密钥管理机制对无线网络的安全起着决定性的作用本章首先介绍无线网络的基 本安全需求、安全威胁和威胁模型，然后重点讨论无线网络中认证协议的形式化 分析方法、无线认证协议的设计原则和要求，以及密钥管理问题、单播密钥协商 协议和群组密钥管理方法 1 1 无线网络安全概述 1 1 1 无线网络的特点与分类 无线网络是在没有物理连接的情况下采用无线传输介质将多个设备进行互连 的网络通信系统，它是计算机网络与无线通信技术相结合的产物。计算机与无线 通信的结合，使得移动正在变得无所不在，移动终端可以通过无线网络随时随地 接入和访问互联网资源。未来的移动终端将是集成了多种无线接入方式的设备， 如支持i e e e8 0 2 1 1 系列、3 g 和g p r s 等技术的p d a 、手持电话和笔记本电脑等。 无线网络的应用扩展了网络用户的自由空间，具有安装便捷、网络结构灵活等优 点，但从网络结构、无线传输介质和移动设备等方面考虑，无线网络一般也具备 以下一些共同缺点： 1 ) 无线网络结构存在较大差异，异构网络间互连比较困难； 2 ) 无线信道的开放性使得其容易遭受窃听、干扰以及篡改等种攻击手段； 3 ) 无线通信信道带宽较小，而且容易受到干扰，信道误码率较高； 4 ) 移动设备的计算能力、存储空间、通信带宽以及电源供应等资源受限； 5 ) 移动设备容易发生被盗或丢失，不能提供足够的安全防护。 6 ) 移动设备一般屏幕较小，键盘较小而且一键多能； 在技术与市场的推动下，新技术、新方法和新标准层出不穷，无线网络的发 展可以说是日新月异。在无线网络世界里，国际电子与电气工程师协会( i n s t i t u t eo f e l e c t r i c a la n de l e c t r o n i c se n g i n e e r s 。i e e e ) 制定的i e e e8 0 2 系列标准l l j 为无线网络 通信技术的发展做出了重要贡献。由于无线网络所采用的通信技术、实现规模以 及应用范围各不相同，因此存在多种分类方式。按照网络组织形式的不同，无线 网络可分为：有结构无线网络和自组织网络。 1 ) 有结构无线网络具备固定的网络基础设施，负责移动终端的接入和认证， 并提供网络服务，包括蜂窝通信网络和无线局域网等。 2 )自组织网络按照自发形式组网，网络中不存在集中管理机制，各节点按 照分布式途径协同提供网络服务，包括无线传感器网络( w i r e l e s ss e n s o r n e t w o r k , w s n ) 和a dh o c 网络。相比较而言，由于缺乏网络架构和集中式管理机制的支持， 自组织网络( 尤其是无线传感器网络) 面i 临着更大的安全风险。无线传感器网络 集成了无线通信、传感器、微机电以及信息处理等技术，它是由大量体积小、价 格低、电池供电、计算和通信能力弱、拓扑动态变化的传感器节点以自组织方式 构成的无线网络系统1 2 。w s n 适合部署在恶劣环境中或人类不宜到达的区域，它 能广泛应用于军事国防、空间探索、环境监测、自然灾害预防、抢险救灾、工业 控制、医疗健康、智能家居等领域。2 0 0 3 年美国m i t 的技术评论在预测未来 技术发展报告中，将w s n 列为改变世界的十大新技术之一p j 。w s n 的发展和广 泛应用，将对人们的社会生活及产业变革产生巨大的影响和推动作用。 根据传输速率、覆盖范围和用途的不同，无线网络主要可以分为：无线广域 网、无线城域网、无线局域网以及无线个域网。 1 ) 无线广域网( w h l e s sw i d ea r e an e t w o r k , w w a n ) ：一般是指蜂窝网络或 移动卫星通信网络，其覆盖范围较大，通常是一个国家或者一个洲。典型的代表 技术有g p r s 网络1 4 、3 g 网络【5 1 ，i e e e8 0 2 2 0 t 6 以及未来的4 c , t 7 1 等。根据采用的 通信技术不同，网络传输速率差异较大，从2 g 的9 6 k b p s ，到3 g 的3 8 4 k b p s 2 m b p s ，数据传输速率在不断的提高。w w a n 的目的是为了让分布较远的各局域 网互连，它的结构分为末端系统和中间通信链路系统两部分。i e e e8 0 2 2 0 是 w w a n 的重要标准，它是一种适用于高速移动环境下的宽带无线接入系统空中接 口规范，可以有效解决移动性和传输速率之间的矛盾问题，能够满足无线通信市 场高移动性和高吞吐量的需求，具有性能好、效率高、成本低和部署灵活等特点。 未来的无线广域网发展将更侧重于多种网络业务的整合。 2 ) 无线城域网( w h e l e s sm e t r o p o l i t a na r e an e t w o r k , w m a n ) ：主要是通过 移动电话或车载装置进行的移动数据通信，可以覆盖城市中大部分的地区。代表 技术是i e e e8 0 2 1 6 系列宽带无线接入( b r o a db a n dw i r e l e s sa c c e s s ，b b w a ) 标准 【8 】，由于它为无线宽带城域网设计了空中接口技术，而受到w i m a x ( w o r l d i n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s ，全球微波互操作性) 组织 9 1 的支持，所以又 被成为w i m a x 标准。i e e e8 0 2 1 6 2 0 0 4 标准中系统覆盖的范围最大可达5 0 k i n ， 可提供最高达7 0 m b p s 的数据传输率。 3 ) 无线局域网( w h l e s sl o c a la r e an e t w o r k , w l a n ) ：是指以无线信道来代 替传统有线传输介质构成的局域网络，它是在有线网络的基础上发展而来的，能 够使网络上的各种终端设备摆脱有线连接介质的束缚，其覆盖范围较小。典型代 表技术是i e e e8 0 2 1 1 系列【1 0 1 ，其覆盖范围一般在3 0 0 m 内，数据传输速率为1 l - - 5 6 m b p s 之间，甚至更高。i e e e8 0 2 1 1 系列标准是在1 9 9 1 年成立的w l a n 标准 工作组的基础上推出的，1 9 9 6 年成立了无线以太网兼容性联盟( w t r e l e s se t h e m e t c o m p a t i b i l i t ya l l i a n c e ，w e c a ) ，创立了w l a n 协议，1 9 9 9 年w e c a 更名为无线 兼容性( w i r e l e s sf i d e l i 坝w i f i ) 联盟【l l 】。w i f i 技术规范由i e e e 提出，经w i - - f i 联盟认证后，可确保不同无线产品的互连互通。w i f i 提出的i e e e8 0 2 1 1 系 列规范，主要包括i e e e8 0 2 1 l b 、i e e e8 0 2 1 1 a 、以及i e e e8 0 2 1 1 9 等。 4 ) 无线个域网( w l e s sp e r s o n a l a r e a n e t w o r k ，w p a n ) ：w p a n 网络为近 距离范围内的设备建立无线连接，把几米范围内的多个设备通过无线方式连接在 一起，使它们可以相互通信，典型的技术包括i e e e8 0 2 1 5 系列标准1 1 2 】和蓝牙技 术【l3 1 ，覆盖范围较小。1 9 9 8 年3 月成立的i e e e8 0 2 1 5 工作组致力于w p a n 网络 的标准化工作，目标是为在个人操作空间内相互通信的无线通信设备提供通信标 准。 另外，随着无线网络组网范围的不断扩大，为了满足不断增长的无线网络覆 盖范围的要求，近年提出了一种新的无线网络体系架构，无线m e s h 网络( w i r e l e s s m e s hn e t w o r k , w m n ) ，也称为无线网状网i l 引。w m n 是一种多跳的a dh o e 网络， 它由固定节点及移动节点通过无线链路组成，能够对目前存在的有线或者无线网 络提供扩展。无线m e s h 网不能够单独构成系统，需要结合无线个域网、无线局域 网和无线城域网等无线网络发挥其作用。作为一种新型的无线网络技术，w m n 已 成为未来无线通信的核心技术之一，引起了国内外学术界和工业界的广泛关注【1 5 】。 针对无线m e s h 网络的自身特性，许多标准制定小组，例如i e e e8 0 2 1 1 、i e e e8 0 2 1 5 和i e e e8 0 2 1 6 都已建立子工作组，专门研究m e s h 网络的相关问题；许多公司， 例如，n o k i a 、m i c r o s o f t 、m o t o r o l a 和i n t e l 也提出要将m e s h 网络作为全i p 网络的 一种解决方案。 1 1 2 无线网络安全需求分析 无线网络得到广泛应用，一个重要原因是无线网络的建设不受地理环境的限 制，而且无线网络用户不受通信电缆的限制，这也使得无线网络具有易于部署、 灵活方便、成本低廉等诸多优势。无线网络的这些优势都来自于其所采用的无线 通信信道和技术，而开放的无线信道在赋予无线用户通信自由的同时，也给无线 网络带来了新的挑战，其中最重要的一个方面就是安全性问题。由于无线网络采 用的是无线信道传输数据，在无线信号覆盖区域内的所有用户都能接触到这些数 据，要将数据只传送给某一个特定的目标接收者是不可能的。另一方面，无线网 络中的移动设备一般存在计算、通信、存储和能量等资源受限的情况，使得有线 网络中的许多安全方案和技术不能直接应用于无线网络。因此，需要研究新的适 合于无线网络环境的安全理论、安全方法和安全技术【1 6 j 。 随着无线网络应用范围的日益拓展，对无线网络安全性的要求也在不断提高。 然而，要实现真正的无线网络安全目标并非易事。除了具备传统有线网络安全需 求外，无线网络还具有以下一些特殊的安全需求【1 7 1 ： 1 ) 无线网络采用的开放式无线信道更容易受到恶意攻击：由于无线网络采 用的无线通信链路使得网络没有一个明确的防御边界，攻击者更容易对无线网络 进行从被动窃听到主动干扰等各种手段的攻击。无线信道的这种开放性给无线网 络带来了非法截获信息、未授权服务等一系列网络信息安全问题。 2 ) 无线网络的移动和漫游导致无线网络安全管理更加复杂化：无线网络终 端不仅可以在较大范围内移动，还可以在区域间漫游，漫游访问网络可能对用户 实施欺骗，非法用户可能伪装成合法用户滥用网络服务，漫游用户也可能通过某 种攻击手段入侵访问网络。无线网络的移动和漫游带来了新的安全管理问题。 3 ) 无线网络传输信道的不稳定性也会影响无线网络的安全：无线网络随着 用户的移动其信道稳定性较差，容易产生干扰、衰落、多径和频移等多方面问题， 造成信号波动较大，甚至无法进行通信。无线网络信道的不稳定性给安全方案的 设计和实现带来了诸多困难。 4 ) 无线网络动态变化的拓扑结构导致安全方案的实施难度加大：无线网络 的拓扑结构是动态的、变化的，缺乏集中管理机制，这使得安全方案和技术更加 复杂更难实施。无线网络中的许多协议算法必须依赖所有节点的共同参与和协作， 缺乏集中管理机制可能导致攻击者利用这一弱点对网络进行新的攻击来破坏网络 协议算法。 5 ) 无线网络中移动终端资源受限的特点导致现有的安全协议不再适用：移 动终端设备的体积较小，在计算能力、通信带宽、存储空间和能量供应等方面受 到严重限制，导致现有的许多有线网络中成熟的安全协议和方案不能直接应用到 无线网络。有限的计算能力还制约了公钥密码体制的应用，公钥密码运算对于移 动设备过于复杂，在许多时候难以接受。 总的说来，由于无线信道的开放性和不稳定性、资源受限的终端移动性、动 态变化的网络拓扑、缺乏集中控制机制以及灵活的组网方式，导致无线网络对安 全性的要求更加复杂和全面。因此，在设计和实现一个完善的无线网络系统时， 必须考虑完备的安全方案的设计，包括用户接入认证、漫游认证、用户安全管理、 密钥管理等，其中密钥管理和认证技术是关键。 1 1 3 无线网络的安全威胁及表现 安全威胁是指某个人、物、事件或概念对某一资源的保密性、完整性、可用 性或合法使用所造成的危险【l s 】。某种攻击就是某种安全威胁的具体实现。安全威 胁可以被分类成故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。 被动威胁包括只对信息进行监听( 如搭线窃听) ，而不对其进行修改。主动威胁包 括对信息进行故意的篡改。要实现信息的机密性、完整性、可用性以及资源的合 法使用这四个基本安全目标，必须采取相应的安全措施对付信息泄露、完整性破 坏、拒绝服务和非法使用这四种基本的安全威胁。 无线网络由于自身特点，面临着更多更严重的安全威胁，主要可以分为对无 线接口的攻击、对无线设备的攻击以及对无线网络本身的攻击。根据攻击手段和 目标，对无线接口的攻击可以分为物理攻击和密码学攻击，包括窃听、篡改、重 放、干扰和欺诈等等；攻击无线网络是指针对无线网络基础设施进行的攻击；针 对无线设备的攻击包括克隆、盗窃等等。一般来说，无线网络中的安全威胁主要 表现有： 1 ) 身份假冒：攻击者伪装成合法用户，通过无线接入非法访问网络资源； 2 ) 通信拦截：无线链路上传输的未被加密的数据被攻击者截获； 3 ) 拒绝服务：针对无线连接或设备实施拒绝服务攻击； 4 ) 无线干扰：不适当的数据同步可能破坏数据的完整性； 5 ) 隐私泄露：恶意实体寻找特定用户的身份信息或者跟踪特定用户，得到 合法用户的隐私信息； 6 ) 设备丢失：移动设备容易丢失，从而泄露敏感信息； 在安全威胁中，主要的可实现的威胁是十分重要的，任何这类威胁的实现都 会直接导致基本威胁的产生。在无线网络环境下，主要的可实现的威胁有无授权 访问、窃听、伪装、篡改、重放、重路由、错误路由、删除消息、网络泛洪等。 当受到安全威胁时，会导致一定的安全风险。所谓风险是关于某个已知的、可能 引发某种成功攻击的脆弱性的代价的测度。当无线网络受到以上提到的安全威胁 时，可能导致的安全风险主要包括窃取信息、非授权使用资源、窃取服务、拒绝 服务等。 酉塞血王型蕴态堂簋主途塞；玉线圈终虫查塑筐垄星丛垂直选区基垄婴塞 1 1 4 无线网络安全威胁模型 在无线网络的开放环境中，必须考虑到会有攻击者做各种坏事，它们不仅会 被动地窃听，而且会主动的改变、伪造、复制、改变路由、删除或注入消息。一 般假定攻击者在操纵开放性网络通信方面的能力是十分强大的，其行为是不规范 的，攻击技术也是难以预料的。而且，攻击者有时可能是一个团伙，他们可以同 时控制地域上相距很远的一些网络节点。因此，在这样脆弱的无线网络环境下不 能低估攻击者的能力【1 9 j 。 1 9 8 3 年，d o l e v 和y a o 提出了一个威胁模型【2 0 】，这一模型被广泛地采纳为安 全协议的标准威胁模型，它界定了安全协议攻击者的行为能力，是用于安全协议 验证研究并且使用最为广泛的一个安全协议攻击者模型【2 1 1 。该模型将安全协议本 身和所采用的密码体制分开，在假定密码体制是完善的( 即只有掌握密钥的主体 才能解密密文消息) 基础上来讨论安全协议本身的正确性、安全性和冗余性等问 题。同时，该模型假设攻击者的知识和能力不可低估，它可以控制整个通信网络， 并具有如下一些特征： 1 ) 它能够截获、阻止或窃听经过网络的任何消息； 2 ) 它能够作为合法的主体发起与其它用户的会话； 3 ) 它能够成为任何主体发出消息的接收者； 4 ) 它能够冒充任何别的主体给任意主体发送伪造消息； 5 ) 它能够存储所获得或自己创造的消息。 因此，在d o l e v - - y a o 威胁模型中，发送到网络中的任何消息都可以看成是发 送给攻击者处理的( 根据它的计算能力) 。所以从网络接收到的任何消息都可以看 成是经过攻击者处理过的。也就是说，可以认为攻击者已经完全控制了整个网络。 当然，攻击者也不是全能的，即使把它看成是一个相互勾结的犯罪团伙，能够并 行使用开放网络中的大量计算机，也还有一些攻击者做不到的事情，具体包括： 攻击者不能猜到从足够大的空间中选出的随机数；攻击者在没有正确密钥的情况 下，不能由给定的密文恢复出明文，对于完善的加密算法，也不能从给定的明文 构造出正确的密文；攻击者不能求出私有部分信息，比如与给定的公钥相匹配的 私钥；攻击者一般不能控制计算环境中的许多私有区域，如访问离线主体的存储 器等。 我们认为d o l e v y a o 威胁模型同样适用于无线网络中，本文研究的所有协议分 析和设计都是基于d o l e v y a o 威胁模型的。 1 2 无线网络安全认证技术 1 2 1 安全认证协议概述 认证通过可靠的验证来保证通信方的身份，其目的是阻止伪装，防止非法用 户的接入与访问，它对于开放环境下的网络安全具有重要的作用。认证可以进一 步分为实体认证、数据源认证和认证的密钥建立。实体认证的目的是证明一个用 户、系统或应用所声称的身份是真实而非冒充的，包括对信源和信宿的认证。数 据源认证，是验证通信数据的来源和消息的完整性，确保数据在传送或存储过程 中未被篡改、重放等。认证的密钥建立则是在协议参与方之间建立一条安全信道， 用于后继的安全会话。实体认证和消息认证有单向认证和双向认证之分，单向认 证由验证者认证通信方的身份，而双向认证中通信双方都要进行认证。 认证是通过认证协议来实现的。在网络安全中，密码技术是重要的基础，但 网络安全不能单纯依靠密码算法来实现【2 l 】。安全协议，也称为密码协议，是以密 码学为基础的消息交换协议，其目的在于为网络提供各种安全服务，它对于网络 安全至关重要，是实现各种网络安全需求的基础。在网络系统中需要通过安全协 议进行实体之间的认证、在实体之间安全地分配密钥、确认发送和接收的消息的 不可否认性等。安全协议根据功能的不同主要包括认证协议、密钥建立协议和认 证的密钥建立协议。其中，认证协议是其他各种网络安全业务的基础，也是对各 种安全技术的综合运用，对认证协议进行分析和验证是网络安全领域重要的研究 内容。 为了使网络中通信双方能够确信对方正是他想要与之通信的人，需要通信双 方进行身份认证；并且用户在建立会话密钥时还需要对收到的会话密钥进行认证， 以确定该密钥是安全的，而且通信对方也收到此密钥。通常，会话密钥建立过程 中同时也需要具有认证功能，因此很多情况下，需要将认证与密钥建立结合起来 考虑，简称为认证方案。认证方案重点要实现两个目的圈：( 1 ) 认证网络用户的 身份，防止非法用户假冒合法用户身份占用网络资源、删除或篡改用户存储的数 据；( 2 ) 认证的建立会话密钥，以便于通过加密技术保护合法用户在网络上通信的 内容，防止非法用户窃听。 保密性和认证是无线网络安全业务的基础。在无线网络环境中，安全的接入 网络并在两个实体之间安全地建立会话密钥的问题是认证协议所要解决的核心问 题，是网络安全通信的基础，同时也是无线网络安全与有线网络安全区别最大的 问题之一。目前，针对无线网络环境提出了许多认证协议或认证的密钥建立协议， 这些协议大都考虑了无线通信中数据的保密性和实体的认证，但并非都考虑了移 动用户的匿名性问题。当移动用户在无线网络中漫游时，希望保护其有关的身份、 位置等隐私信息。移动用户的匿名性即是防止非法用户从有关认证协议的信息中 获取移动用户的相关隐私信息，在无线网络环境下，这是一个非常重要的问题， 因为移动用户身份的暴露将使非法用户能够跟踪用户的移动过程，这是对用户隐 私的侵害。本文对无线环境下的认证方案进行研究。 1 2 2 认证协议的形式化分析方法 基于应用背景和实际要求的不同，研究者已经提出了多种认证协议 2 3 ，2 4 。但 经验表明，设计一个正确的认证协议是一项十分困难的任务。即使是只有2 3 个参 与方和3 5 条消息的认证协议，要保证其正确性、符合认证目标并且没有冗余也是 很不容易的【1 9 1 。实际上，许多现有的认证协议都存在缺陷，不能有效地抵抗各种 攻击。一个著名的例子是n e e d h a m s c h r o e d c r 公钥协议【2 5 】，这个协议在l o w e 发现 其缺陷之前的1 7 年内都被认为是安全的【2 6 】。这个例子说明了对认证协议进行有效 设计、分析和证明的重要性。为了解决这一问题，近2 0 多年来，研究人员提出了 许多设计、分析、验证认证协议的方法。 对协议进行分析是揭示认证协议中存在安全漏洞的重要途径。协议分析的方 法有非形式化分析方法和形式化分析方法两种。采用非形式化方法对协议进行分 析通常是根据各种已知攻击方法对协议进行攻击，以攻击是否成功来检验认证协 议是否安全。但是由于存在着许多未知的攻击方法，所以非形式化方法分析认证 协议并不够全面和客观，经验表明，非形式化协议分析方法经常导致错误【2 7 2 引。 认证协议设计和分析的困难性在于【2 l 】：安全目标本身的微妙性、协议运行环境和 攻击模型的复杂性以及安全协议本身具有“高并发性”的特点。非形式化方法不能够 完全证明其正确性和安全性，这样就需要用形式化的方法来分析认证协议。 安全协议的形式化分析方法源于2 0 世纪8 0 年代。目前对于安全协议的形式 化分析方法主要有两大类：一类是基于符号操作的形式化方法，一类是基于计算 复杂性的形式化方法。在基于符号操作的形式化方法中，安全特性被表示成一组 抽象的可操作符号，符号操作有时由一个形式化逻辑系统进行，有时由一个称为 定理证明器的机械工具进行。它强调的是自动化的机器描述与分析，例如模型检 测和定理证明方法等。这类自动化方法存在一个主要问题是不可预测性和复杂性， 用它证明是安全的协议很难保证没有缺陷，甚至可能得到错误的结论。但是，基 于符号操作的形式化分析方法对于协议不安全的论证是可信的，它更擅长于发现 协议中已知或未知的安全缺吲2 9 3 0 】。基于符号操作的形式化方法主要包括以下几 类【3 1 】： 模态逻辑方法：模态逻辑由一些命题和推理规则组成。命题表示主体对消息 的知识或者信仰，推理规则可以从已知的知识或信仰推导出新的知识或信仰。最 典型的模态逻辑方法是由b u r r o w s 、a b a d i 和n e e d h a m 提出的基于信仰的b a n 逻 辑1 3 2 。，它的基本思想是通过安全协议的交互消息，将最初的信仰逐渐推理到与安 全协议运行目标一致的最终信仰。但b a n 逻辑只能分析安全协议的认证属性，而 不能分析保密属性；并且该方法的最大问题是不具有完备性，即b a n 逻辑不能检 测出安全协议的所有问题。 模型检测方法：模型检测法也叫状态空间搜索法，它是一种验证有限状态系 统的自动化技术。其基本思想是使用规范语言，例如有限状态机模型，对系统进 行建模；再使用逻辑语言，例如时态逻辑，对系统需求进行描述；然后使用状态 搜索算法来确定系统模型是否满足期望的安全属性。模型检测的优点是自动化程 度高，若安全协议存在缺陷，则该方法能自动产生反例；不足之处是容易产生状 态空间爆炸问题，需要限定协议参与主体的数目。 定理证明方法：定理证明是对形式化的协议模型与规约运用证明技术来证明 规约是否在协议模型中得到满足。该方法主要是证明安全协议是否满足特定的安 全属性，而不是寻找安全协议可能会遭受的攻击，所以定理证明方法针对的是安 全协议的正面，而模型检测方法针对的是安全协议的反面。定理证明的方法主要 有p a u l s o n 归纳法【3 3 1 、串空间模型 3 4 1 、阶函数【3 5 1 、s p i 演算【3 6 】等。定理证明的实施 需要定理证明器的支持，现有的定理证明器包括：用户导引自动推演工具、证明 检验器和复合证明器。定理证明方法的优点是通过状态的简化可以处理无限状态 空间问题，而不足之处是难以完全自动化。 基于计算复杂性的形式化方法又称为可证明安全方法，在这种方法中安全性 是以概率的形式定义和度量的，它的主要思想是通过归纳推理，将攻破协议的问 题规约到计算复杂性假设中求解某个公认的困难问题上，如果规约成功则完成了 协议的安全性证明。1 9 8 4 年，g o l d w a s s e r 和m i c a l i 为“可证明安全性做出了奠 基性的工作，首次将概率引入了密码学 3 7 1 。1 9 8 7 年，f i a t 和s h a m i r 提出了“随机 预言机模型 ( r a n d o mo r a c l em o d e l ，r o 模型) 3 8 】，在该模型中，h a s h 函数被形 式化为一个预言机，生成真随机值，用于协议的安全性规约。可证明安全方法的 核心理论是提供证明模型与安全定义，协议的安全性在证明模型中逐步被规约到 安全定义。b e l l a r e 和r o g a w a y 3 9 】将这种思想应用于认证的密钥协商协议，建立了 攻击者能力模型及相关的安全定义，并且对两方的实体认证和密钥协商协议进行 了安全性证明。后来，b e l l a r e ，c a n e t t i 和k r a w c z y k1 4 0 在1 9 9 8 年引入了模块化的 思想，通过提供可重用的协议模块来构造新的可证安全的密码协议。在此基础上， s h o u p 提出了s h o u p 密钥交换模型【4 ，c a n e t t i 和k r a w c z y k 提出了c a n e t t i k r a w c z y k ( c k ) 模块化的协议分析与设计模型1 4 2 j ，而c a n e t t i 则提出了通用可组合 ( u n i v e r s a l l yc o m p a s s a b l e ，u c ) 模型1 4 3 ，川。其中应用比较广泛的是c k 模型和 u c 模型。 c k 模型：c k 安全模型的主要目标是通过模块化的方法来分析和设计认证密 钥交换协议。该模型采用了不可区分性来定义安全，即如果在允许的攻击能力下， 攻击者不能够区分协议